Les systèmes d’identification biométrique utilisent les caractéristiques physiques intrinsèques uniques des individus – empreintes digitales ou empreintes de mains, motifs faciaux, voix, iris, cartes veineuses ou même ondes cérébrales – pour vérifier leur identité. Les gouvernements ont appliqué la technologie pour vérifier les passeports et les visas, identifier et suivre les menaces pour la sécurité et, plus récemment, pour s’assurer que les avantages publics sont correctement distribués.
Les entreprises privées ont également adopté les systèmes d’identification biométrique. Les smartphones utilisent les empreintes digitales et la reconnaissance faciale pour déterminer quand déverrouiller. » Plutôt que d’entrer des mots de passe différents pour différents services – y compris les services financiers – les utilisateurs placent simplement leur doigt sur un bouton de leur téléphone ou regardent dans l’objectif de leur appareil photo.
C’est certainement pratique. Et, à première vue, cela peut sembler plus sûr: quelqu’un pourrait être en mesure de trouver votre mot de passe, mais comment pourrait-il reproduire vos caractéristiques biologiques essentielles?
Mais, comme avec tant d’autres technologies pratiques, nous avons tendance à sous-estimer les risques associés aux systèmes d’identification biométrique. L’Inde a appris à leur sujet à la dure, car elle a élargi son système pour attribuer aux résidents un numéro d’identification unique », ou Aadhaar, lié à leur biométrie.
À l’origine, le principal objectif du programme Aadhaar était de gérer les prestations gouvernementales et d’éliminer les bénéficiaires fantômes »des subventions publiques. Mais il a maintenant été étendu à de nombreux domaines: de l’ouverture d’un compte bancaire à l’inscription des enfants à l’école en passant par l’admission à l’hôpital, il faut désormais un Aadhaar. Plus de 90% de la population indienne s’est inscrite au programme.
Mais de graves vulnérabilités sont apparues. La vérification biométrique peut sembler être la solution technologique ultime, mais l’erreur humaine crée des risques importants, en particulier lorsque les procédures de collecte de données ne sont pas correctement établies ou mises en œuvre. En Inde, le gouvernement souhaitait inscrire rapidement un grand nombre de personnes au programme Aadhaar, de sorte que la collecte des données a été externalisée auprès de petits prestataires de services équipés de machines mobiles.
Si une empreinte digitale ou un iris est même légèrement incliné ou mal positionné, il se peut qu’il ne corresponde pas aux analyses de vérification futures. De plus, les corps peuvent changer avec le temps – par exemple, le travail manuel quotidien peut altérer les empreintes digitales – créant des écarts avec les données enregistrées. Et cela ne couvre même pas les erreurs les plus élémentaires, comme les noms ou adresses mal orthographiés.
La correction de ces erreurs peut être un processus long et compliqué. C’est un problème grave lorsque la capacité de percevoir des prestations ou d’effectuer des transactions financières en dépend. L’Inde a connu plusieurs cas de perte de droits – qu’il s’agisse de rations alimentaires ou de salaires pour des programmes de travaux publics – en raison de disparités biométriques.
Si des erreurs honnêtes peuvent faire autant de mal, imaginez les dommages qui peuvent être causés par une fraude pure et simple. La police du Gujarat, en Inde, a récemment trouvé plus de 1 100 empreintes digitales de bénéficiaires réalisées sur un matériau semblable à du silicone, qui ont été utilisées pour des retraits illicites de rations alimentaires du système de distribution public. Parce que nous laissons des empreintes digitales sur tout ce que nous touchons, nous sommes tous vulnérables à une telle réplication.
Et la réplication manuelle n’est que la pointe de l’iceberg. Les chercheurs ont créé des MasterPrints synthétiques « qui leur ont permis d’atteindre un nombre effroyablement élevé de correspondances imposteuses ».
D’autres risques surviennent lors de la transmission et du stockage des données biométriques. Une fois collectées, les données biométriques sont généralement transférées vers une base de données centrale pour stockage. Ils doivent être cryptés pendant le transport, mais les cryptages peuvent être – et ont été – piratés. Ils ne sont pas non plus nécessairement sûrs une fois arrivés sur des serveurs locaux, étrangers ou cloud.
En Inde, l’un des systèmes Web utilisés pour enregistrer la présence au travail des employés du gouvernement est resté sans mot de passe, permettant à quiconque d’accéder aux noms, titres de poste et numéros de téléphone partiels de 166 000 travailleurs. Il a été constaté que trois sites officiels du Gujarat révélaient les numéros Aadhaar des bénéficiaires. Et le ministère du Développement rural a accidentellement dévoilé près de 16 millions de numéros Aadhaar.
De plus, un chercheur anonyme de la sécurité française a accusé deux sites Web du gouvernement d’avoir divulgué des milliers de pièces d’identité, y compris des cartes Aadhaar. Cette fuite aurait maintenant été colmatée. Mais, étant donné le nombre d’agences publiques et privées ayant accès à la base de données Aadhaar, de tels épisodes soulignent à quel point un système supposément sécurisé peut être risqué.
Bien entendu, de telles vulnérabilités existent avec toutes les données personnelles. Mais l’exposition des informations biométriques d’une personne est beaucoup plus dangereuse que l’exposition, par exemple, d’un mot de passe ou d’un numéro de carte de crédit, car elle ne peut pas être annulée. Après tout, nous ne pouvons pas simplement obtenir de nouveaux iris.
Le risque est aggravé par les efforts visant à utiliser les données biométriques collectées pour le suivi et la surveillance, comme cela se produit en Chine et ailleurs. En ce sens, la collecte et le stockage à grande échelle des données biométriques des personnes constituent une menace sans précédent pour la vie privée. Et peu de pays ont quelque chose de proche de lois adéquates pour protéger leurs résidents.
En Inde, les révélations des faiblesses du programme Aadhaar ont été largement rejetées officiellement, plutôt que de sérieux efforts pour protéger les utilisateurs. Pire encore, d’autres pays en développement, comme le Brésil, risquent désormais de reproduire ces erreurs, alors qu’ils se précipitent pour adopter la technologie biométrique. Et, compte tenu des violations de données à grande échelle qui se sont produites dans le monde développé, les citoyens de ces pays ne sont pas non plus en sécurité.
Les systèmes d’identification biométrique imprègnent chaque facette de nos vies. À moins que et jusqu’à ce que les citoyens et les décideurs politiques reconnaissent et traitent les risques de sécurité complexes qu’ils comportent, personne ne devrait se sentir en sécurité.